FIDO am Limit: Neue Gefahr im Auth-Dschungel: FIDO-Authentifizierung geknackt: Downgrade-Risiko
FIDO gilt als eine der sichersten Authentifizierungsmethoden gegen Phishing und Kontoübernahmen. Doch Experten von Proofpoint haben nun eine Schwachstelle identifiziert: Durch gezielte Downgrade-Angriffe können Angreifer FIDO umgehen und auf weniger sichere Login-Methoden ausweichen – mit gravierenden Folgen für Unternehmenssicherheit.
Der offene Standard FIDO („Fast Identity Online“) wurde entwickelt, um sichere und benutzerfreundliche Authentifizierung im Internet zu ermöglichen.
FIDO – eigentlich ein Bollwerk gegen Phishing
FIDO-basierte Passkeys gelten als hochwirksam, da sie Phishing-Angriffe und Kontoübernahmen zuverlässig verhindern. In den meisten Fällen scheitern Phishing-Versuche an FIDO-geschützten Konten – insbesondere wenn Angreifer Standard-Phishlets einsetzen, die nicht für FIDO konzipiert sind.
Ein Phishlet ist eine Konfigurationsdatei, die von Phishing-Kits genutzt wird, um legitime Websites zu imitieren und Anmeldedaten oder Sitzungstokens abzufangen. FIDO-gesicherte Logins blockieren diese Versuche normalerweise vollständig.
Die neue Gefahr: Downgrade-Angriffe auf FIDO
Proofpoint hat jedoch Schwachstellen in bestimmten FIDO-Implementierungen entdeckt – darunter Windows Hello for Business (WHfB) – die Angreifern Downgrade-Angriffe ermöglichen. Dabei wird der Nutzer gezwungen, auf eine weniger sichere Authentifizierungsmethode (oft Mehrfaktor-Authentifizierung) zurückzugreifen.
Im Testumfeld führten die Forscher den Angriff anhand von Microsoft Entra ID vor. Das Verfahren ist jedoch nicht auf diese Plattform beschränkt.
Benutzeragent-Spoofing als Einfallstor
Nicht jeder Browser unterstützt FIDO2-Passkeys in allen Szenarien. Beispielsweise funktioniert FIDO bei Nutzung von Safari unter Windows nicht mit Microsoft Entra ID. Ein Angreifer kann diese Lücke mit Benutzeragent-Spoofing ausnutzen:
- Er tarnt den Browser des Opfers durch einen angepassten Adversary-in-the-Middle- (AiTM-) Angriff als nicht FIDO-kompatibel.
- Das System bietet dann automatisch eine alternative, weniger sichere Login-Methode an.
- Diese fehlende Sicherheitskontrolle öffnet die Tür für Phishing-Kampagnen mit Downgrade-Komponente.
Ablauf eines FIDO-Downgrade-Phishing-Angriffs
Proofpoint beschreibt den Ablauf mit einem für Evilginx angepassten Phishlet wie folgt:
- Initialer Köder – Versand eines Phishing-Links per E-Mail, SMS oder OAuth-Anfrage.
- Herabstufung – Nach dem Klick erhält das Opfer eine Fehlermeldung und wird aufgefordert, eine alternative Anmeldemethode zu wählen.
- Abgriff von Login-Daten – Das Opfer gibt Anmeldedaten und MFA-Token auf einer gefälschten Seite ein.
- Sitzungsübernahme – Der Angreifer importiert das gestohlene Sitzungscookie in seinen Browser und übernimmt den Account, ohne MFA erneut durchlaufen zu müssen.
Potenzial für hochentwickelte Angriffe
Bislang gibt es laut Proofpoint keine Hinweise, dass Cyberkriminelle den Downgrade-Angriff bereits aktiv einsetzen. Dennoch gilt die Technik als aufkommende Bedrohung, die besonders für Advanced Persistent Threats (APT) und staatlich unterstützte Akteure interessant ist.
Mit der wachsenden Verbreitung von „phishing-resistenten“ Authentifizierungen wie FIDO dürften Angreifer ihre Taktiken weiterentwickeln und diese Schwachstellen gezielt in ihre Kill Chains einbauen.
Fazit
Der FIDO-Downgrade-Angriff ist ein Beispiel dafür, dass selbst hochsichere Authentifizierungsmethoden nicht unangreifbar sind. Unternehmen sollten prüfen, ob alternative Authentifizierungsmethoden in ihren FIDO-Implementierungen zwingend notwendig sind, und Sicherheitskontrollen so konfigurieren, dass ein Downgrade gar nicht erst möglich ist.
Newsletter Abonnieren
Abonnieren Sie jetzt IT-SICHERHEIT News und erhalten Sie alle 14 Tage aktuelle News, Fachbeiträge, exklusive Einladungen zu kostenlosen Webinaren und hilfreiche Downloads.
